Trojan.FileCryptor.Trace - virus-encoder

[DugR]

Bonjour,

J'ai un poste qui a été infecté par le Trojan.FileCryptor.Trace (MBAM).
Tous les fichiers accessibles depuis cet ordinateur en local et réseau ont été renommés du genre :

[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn

J'ai essayé de le supprimer (mbam, adwcleaner, roguekiller), j'ai également essayer de décrypter les fichiers mais ca n'a pas été des plus concluant.

J'ai passé l'utilitaire FRST et voici les rapports :
FRST : http://pjjoint.malekal.com/files.php?id ... v7z7n8o5s5
Additionnal : http://pjjoint.malekal.com/files.php?id ... 14g12z13r8
http://pjjoint.malekal.com/files.php?id ... 5o9i6f9v12

Merci d'avance de votre aide!

[Malekal_morte]

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.


Il n'y a pas vraiment de solution pour récupérer les documents.

~~

Envoie le fichier C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp sur http://upload.malekal.com

~~


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()
Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()
2015-09-29 13:08 - 2015-09-29 13:08 - 00401934 _____ C:\Users\Poste2.STATION02.000\AppData\Roaming\recovery.bmp
2015-09-29 14:24 - 2014-02-17 10:34 - 00000302 _____ C:\Windows\Tasks\ciwpmitdp.job

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com

[DugR]

Voilà c'est fait, le malware est bien supprimé? je peux restaurer une sauvegarde?

Les fichiers non sauvegardés auront ils une chance d'être décryptés?
j'essaie avec des utilitaires de Kaspersky.

Merci

[Malekal_morte]

Merci pour le fichier. Pour l'utilitaire Kaspersky, ça ne sert à rien.
Test plutôt les versions précédentes des fichiers.

Pour le rançongiciel, je pense que oui, je l'ai envoyé aux antivirus.

SHA256: 409183e50ef1b6ad32075d500552cff0bcc53cebb9086ec7daafb0610371b809
Ratio de détection : 3 / 55
Date d'analyse : 2015-09-29 13:55:21 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
DrWeb Trojan.Encoder.567 20150929
Kaspersky Trojan-Ransom.Win32.Cryakl.aby 20150929
Rising PE:Malware.Obscure/Heur!1.9E03[F1] 20150928

message :

Attention ! Your computer has been attacked by a virus-encoder

Les emails pour la rançon sont :

Code : Tout sélectionner

[email protected]
[email protected]

CnC: SKREKLAMA.LT (185.5.53.32)

C'est une variante de Ransomware fud_india.com - virus-encoder - cela y ressemble beaucoup.

Fiche virus-encoder sos_decryptfiles.com ajoutée.

[DugR]

Merci mille fois pour votre aide, j'ai pu récupérer mes fichiers de sauvegarde et pour les autres une ancienne version sauvegardée par Windows !

Sinon, j'ai tenté le mail de demande de rançon et voici la réponse :

Hello! The cost of decoding of files makes 700(€) euro in bitcoins, for a guarantee of existence of the decoder at us you can send the test file to decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.
If you do not receive a reply, please contact us at [email protected] or [email protected]

Consternant!!!

[Malekal_morte]

La rançon a augmentée, d'habitude, c'est plutôt 250 ou 500 euros.
J'imagine que tu es une entreprise, ils savent que les données sont importantes donc ça peut faire monter les prix.

[DugR]

Oui, c'est bien une entreprise.

D'ailleurs, comment aurait il pu le savoir?

Ils auraient accès aux données à moins que leur ransomware leur envoi le volume de fichier cryptés?

[Malekal_morte]

Je pensais au Ransomware OMG qui lui visait quasiment que des entreprises (en bruteforce TSE). C'est plus rentable de taper une entreprise qu'un particulier, les données pour une entreprise sont plus importantes, c'est même vital. Une personne qui perd ses photos, c'est pas cool, mais en survivra. Après, c'est très simple de récupérer les courriels d'une entreprise et de viser certains services avec des campagnes malicieuses.

[oescaliere]

Bonjour,

Nous rencontrons actuellement un problème similaire au sein de notre entreprise, nous avons des fichiers cryptés sur notre serveur de fichier du genre

[email protected]

Je vous ai uploadé un rapport FRST sur http://upload.malekal.com

Il semblerait qu'un poste soit infecté par un trojan mais nous n'arrivons pas à identifier lequel. Notre antivirus est McAfee Viruscan Entreprise 8.8 (et il ne détecte pas ce trojan). Avez vous une solution pour identifier le poste infecté et éradiquer.

Cordialement

[Malekal_morte]

ok donc ça confirme bien qu'ils semblent se concentrer sur les entreprises.

Les rapports FRST sont à donner via http://pjjoint.malekal.com

[oescaliere]

Bonjour,

nous venons de vous uploadez les fichier FRST des 2 poste que nous pensons infecter.
Voici les liens :
FRST.txt : http://pjjoint.malekal.com/files.php?id ... 5f5i14w7n6
Additionnal.txt : http://pjjoint.malekal.com/files.php?id ... z8h15r14s9

CP-PORT
http://pjjoint.malekal.com/files.php?id ... 0x8g7k13d7
http://pjjoint.malekal.com/files.php?id ... q12y13j8m8

[Malekal_morte]

Pas l'air infecté, sur CP-PORT

il existe ce C:\Users\ADMINI~1\AppData\Local\Temp" /B {A826A46D-9412-46EC-8BE7-030B2370EB2F}.cmd ?
si oui, quel est le contenu.

HKLM-x32\...\RunOnce: [{A826A46D-9412-46EC-8BE7-030B2370EB2F}] => cmd.exe /C start /D "C:\Users\ADMINI~1\AppData\Local\Temp" /B {A826A46D-9412-46EC-8BE7-030B2370EB2F}.cmd

Aussi les analyses FRST ont été faites depuis la session administrateur.
il se peut que ce soit seulement la session de l'utilisateur qui soit touché.
Faudrait faire un FRST sur les session utilisateurs.

Normalement il faut regarder la présence d'un fichier .tmp dans le dossier démarrage.

[oescaliere]

Bonjour,

Merci pour votre réponse, nous continuons à scanner les poste sur le réseau pour l'instant nous n'avons pas trouver trace de fichier crypté en local hormis sur un poste cp-port (d'ailleur voici le frst avec la session locale http://pjjoint.malekal.com/files.php?id ... y12m6u11g8 )

Nous avons lancé la restauration sur le serveur de fichier car beaucoup de fichier ont été impacté

[Malekal_morte]

Pas l'air infecté.

[oescaliere]

Bonjour,

Merci pour votre aide nous n'avons pas trouver l'ordinateur responsable.
Nous sommes à 19 machines potentiellement responsables.
Nous avons transmit des échantillons à McAfee.
Mais McAfee n'est pas bien rapide.

Nous avons vérifier la présence d'un fichier .tmp dans le dossier démarrage mais il n'y a rien.

Comment pouvons déterminer le poste initiateur de cette attaque ?

Merci de votre aide.